Ejemplos y descripciones de las vulnerabilidades más comunes

Microsoft Windows, el sistema operativo más usado en sistemas conectados a Internet, contiene múltiples y severas vulnerabilidades. Las más usadas están en IIS, MS-SQL, Internet Explorer, y los servicios de servicio de archivo y procesamiento de mensajes del sistema operativo.

Una vulnerabilidad en IIS, detallada en el Boletín Microsoft de seguridad MS01-033, es una de las vulnerabilidades Windows más utilizadas. Por años enteros, un gran número de gusanos de red han sido escritos para utilizar esta vulnerabilidad, incluyendo 'CodeRed'. CodeRed fue detectado por primera vez el 17 de julio del 2001, y se cree que infectó más de 300.000 artefactos. Interrumpió un gran número de negocios y causó enormes pérdidas financieras en todo el mundo. Aunque Microsoft creó un parche para la vulnerabilidad junto con el boletín de seguridad MS01-033, algunas versiones del gusano CodeRed aún siguen extendiéndose por todo el Internet.

El gusano de red Spida detectado casi un año después de que CodeRed apareciera, utilizó una exposición de MS-SQL Server en una para propagarse. Algunas instalaciones omitidas del servidor MS-SQL no tenían una contraseña en la cuenta del sistema ‘SA’. Esto permitía que cualquiera que tuviera acceso de red al sistema ejecutase cualquier tipo de instrucciones. Al utilizar esta exposición, el gusano configura la cuenta "Invitado" de tal manera que permita abrir el acceso compartido a los archivos y se descarga al sistema atacado. Luego usa el mismo MS-SQL sin la contraseña, accede a la cuenta ‘SA’ para lanzar una copia remota de si mismo, y así propagar la infección.

El gusano de red Slammer detectado a finales de enero del 2003, utilizaba un método aún más directo para infectar el servidor en los sistemas Windows con MS-SQL: una vulnerabilidad de desbordamiento de buffer del servidor en una de las subrutinas de manejo de paquetes UDP. Como era relativamente pequeña-376 bites – y usaba UDO, un protocolo diseñado para la transmisión rápida de datos, Slamer se expandió de una forma casi increíble. Se estima Slammer tarda sólo 15 minutos en distribuirse por todo el mundo, infectando cerca de 75.000 anfitriones

Estos tres notables gusanos se basaban en las vulnerabilidades y exposiciones de software de varias versiones de Microsoft Windows. Sin embargo, el gusano Lovesan detectado el 11 de agosto del 2003, usaba un mucho error más severo de rebalsamiento del buffer en un componente de Windows para propagarse. Esta vulnerabilidad está detallada en el Boletín Microsoft de seguridad MS03-026.

Sasser, que apareció a principios de Mayo del 2003, utilizó otro componente de la vulnerabilidad central, esta vez en el Servicio de Autoridad de Subsistema Local (LSASS). Se publicó información sobre la vulnerabilidad en Boletín Microsof de seguridad MS04-011. Sasser se expandió rápidamente, e infectó millones de ordenadores en todo el mundo, lo que representó un costo enorme para los negocios. Muchas organizaciones e instituciones fueron forzadas a suspender sus operaciones debido a las interrupciones en la red causada por el gusano.

Todos los sistemas operativos sin excepción contienen vulnerabilidades y exposiciones que pueden ser el blanco de hackers y escritores de virus. Aunque las vulnerabilidades de Windows reciben la mayor cantidad de publicidad debido al número de artefactos que trabajan con Windows, Unix tiene sus propios puntos débiles.

Durante años, una de las exposiciones más populares en el mundo Unix ha utilizado el servicio "Finger". Este servicio permite a alguien que esté fuera de la red ver qué usuarios están conectados a ciertos equipos o desde que ubicación los usuarios tienen acceso.

El servicio "Finger" es útil, pero también expone una gran cantidad de información que puede ser usada por los hackers.

He aquí una muestra de cómo se ve un reporte de "Finger" remoto.

Login     Name       Tty      Idle  Login Time   Office         Office Phone
xenon                pts/7   22:34  May 12 16:00 (chrome.chiba)
polly                pts/3      4d  May  8 14:21
cracker   DarkHacker pts/6      2d  May 10 11:58

Esto muestra que podemos aprender algunas cosas interesantes sobre el equipo remoto utilizando el servicio finger: hay tres usuarios conectados pero dos de ellos han estado parados por más de dos días, mientras el otro ha estado fuera del ordenador por 22 minutos. Los nombres de los usuarios conectados que muestra el servicio finger pueden ser utilizados para tratar de hacer las combinaciones de conexión/contraseña. Esto puede poner en peligro el sistema, sobre todo si los usuarios usan sus nombres como contraseñas, una práctica relativamente común.

El servicio fingers no solo expone información importante sobre el servidor anfitrión; sino que ha sido el blanco de muchos exploits, incluyendo el famoso gusano de red escrito por Robert Morris Jr. el que fue lanzado el 2 de noviembre de 1988. Por esto, las distribuciones más modernas de Unix tienen este servicio deshabilitado por defecto .

El programa ‘sendmail’, originalmente escrito por Eric Allman, es también otro blanco popular para los hackers. ‘Sendmail’ se desarrolló para manejar la transferencia de mensajes por correo electrónico vía Internet. Debido al gran número de sistemas operativos y configuraciones de hardware, el ‘Sendmail’ se convirtió en un programa extremadamente complejo, que tiene una historia larga y notoria de vulnerabilidades severas. El gusano Morris utilizaba un exploit ‘sendmail’ así como una vulnerabilidad ‘finger’ para propagarse.

Hay muchos otros exploits populares en el mundo Unix que apuntan a los paquetes software como SSH, Apache, WU-FTPD, BIND, IMAP/POP3, varias partes de los kernels, etc.

Los exploits, vulnerabilidades e incidentes listados anteriormente resaltan un hecho importante. Mientras el número de sistemas que funcionan con IIS, MS-SQL y otros paquetes software específicos puedan ser contados en cientos de miles, el número total de sistemas con Windows ronda los varios cientos de millones. Si todos estos artefactos fueran el blanco de un gusano o un hacker usando una herramienta de hacking automatizada, podría poner en serio peligro la estructura interna y estabilidad de Internet